中的数据保护Amazon Key Management Service - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

中的数据保护Amazon Key Management Service

Amazon Key Management Service 存储和保护您的加密密钥,使其具有高度可用性,同时为您提供强大而灵活的访问控制。

数据加密

Amazon KMS 中的数据包含 Amazon KMS keys 以及它们所代表的加密密钥材料。此密钥材料仅在其使用时以明文形式存在于 Amazon KMS 硬件安全模块 (HSM) 中。否则,密钥材料将被加密并存储在持久性存储中。

Amazon KMS 生成为 KMS 密钥生成的密钥材料永远不会使 Amazon KMS HSM 未加密。它不会在任何 Amazon KMS API 操作中导出或传输。

静态加密

Amazon KMS 在兼容 FIPS 140-2 级的硬件安全模块 (HSM) 中为 Amazon KMS keys) 生成密钥材料。当不使用密钥材料时,HSM 会对密钥材料进行加密,并将其写入耐久的持久性存储中。KMS 密钥的密钥材料和保护密钥材料的加密密钥永远不会以明文形式离开 HSM。

KMS 密钥的密钥材料的加密和管理完全由 Amazon KMS 处理。

有关更多详细信息,请参阅 Amazon Key Management Service 加密详细信息中的使用 Amazon KMS keys

传输中加密

Amazon KMS 为 KMS 密钥生成的密钥材料永远不会在 Amazon KMS API 操作中导出或传输。Amazon KMS 使用密钥标识符来表示 API 操作中的 KMS 密钥。同样,Amazon KMS 自定义密钥存储中 KMS 密钥的密钥材料不可导出,并且永远不会在 Amazon KMS 或 Amazon CloudHSM API 操作中传输。

然而,一些 Amazon KMS API 操作会返回数据密钥。此外,客户可以使用 API 操作来为选定的 KMS 密钥导入密钥材料

所有 Amazon KMS API 调用必须使用传输层安全性 (TLS) 1.2 或更高版本进行签名和传输。对 Amazon KMS 的调用还需要一个现代化的密码套件,该套件支持完美向前保密,这意味着任何密钥(如私有密钥)的泄露都不会影响会话密钥。

如果在通过命令行界面或 API 访问 Amazon 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 终端节点。有关可用的 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版。有关 Amazon KMS FIPS 终端节点的列表,请参阅 Amazon 一般参考中的 Amazon Key Management Service 终端节点和配额

Amazon KMS 服务主机和 HSM 之间的通信在经过身份验证的加密方案中使用椭圆曲线加密 (ECC) 和高级加密标准 (AES) 进行保护。有关更多详细信息,请参阅 Amazon Key Management Service 加密详细信息中的内部通信安全

密钥管理

Amazon KMS 不直接存储客户数据。相反,Amazon KMS 负责存储和保护 Amazon KMS keys,它们是由加密密钥材料支持的逻辑实体。

KMS 密钥的密钥材料由经过 FIPS 140-2 级验证的硬件安全模块 (HSM) 组成的分布式队列提供支持。每个 Amazon KMS HSM 都是一种独立的硬件加密设备,旨在提供专用的加密功能,以满足 Amazon KMS 的安全性和可扩展性要求。

KMS 密钥的密钥材料仅以明文形式存在于 HSM 中,并且仅当密钥材料在密码操作中生成或使用时才会存在。

在不使用时,密钥材料会在 HSM 上加密,并将加密密钥材料写入耐久、低延迟的持久性存储中。保护密钥材料的加密密钥永远不会以明文形式离开 HSM。任何人(包括 Amazon 服务运营商)都没有以明文形式导出或查看密钥材料或 HSM 加密密钥的机制。

自定义密钥存储是一项可选的 Amazon KMS 功能,允许您创建由您控制的 Amazon CloudHSM 硬件安全模块中生成的密钥材料提供支持的 KMS 密钥。这些 HSM 经过了 FIPS 140-2 3 级认证。

另一个可选功能可使您为 KMS 密钥导入密钥材料。在从源到 Amazon KMS 的传输过程中,导入的密钥材料必须使用 Amazon KMS HSM 中生成的 RSA 进行加密。导入的密钥材料在 Amazon KMS HSM 中进行解密,并使用 HSM 中的对称密钥进行重新加密。这些操作在导入的密钥材料使用 Amazon KMS 生成的密钥材料存储之前执行。导入后,导入的密钥材料永远不会使 HSM 处于未加密状态。提供密钥材料的客户负责密钥材料在 Amazon KMS 之外的安全使用、持久性和维护。

有关 KMS 密钥和密钥材料管理的详细信息,请参阅 Amazon Key Management Service 加密详细信息

互联网络流量隐私

Amazon KMS 支持 Amazon Web Services Management Console 以及一组使您能够创建和管理 Amazon KMS keys 并在加密操作中使用它们的 API 操作。

Amazon KMS 支持两种网络连接选项,从您的私有网络到 Amazon。

  • Internet 上的 IPsec VPN 连接

  • Amazon Direct Connect,该服务通过标准的以太网光纤电缆将您的内部网络链接到 Amazon Direct Connect 位置。

为了确保隐私,所有 Amazon KMS API 调用必须通过传输层安全性协议 (TLS) 1.2 或更高版本进行签名和传输。这些调用还需要一个现代化的密码套件,该套件支持完美向前保护。仅允许通过 Amazon 内部网络从已知的 Amazon KMS API 主机向存储 KMS 密钥的密钥材料的硬件安全模块 (HSM) 传输流量。

要在不通过公共 Internet 发送流量的情况从您的 Virtual Private Cloud (VPC) 直接连接到 Amazon KMS,请使用 Amazon PrivateLink 提供支持的 VPC 终端节点。有关更多信息,请参阅通过 VPC 终端节点连接到 Amazon KMS

Amazon KMS 还支持对传输层安全 (TLS) 网络加密协议使用混合后量子密钥交换选项。当您连接到 Amazon KMS API 终端节点时,可以结合使用此选项与 TLS。